Startseite
Sie sind hier: Home > Digital > Sicherheit >

ZeuS-Trojaner überlistet Virenscanner

...

ZeuS-Trojaner

ZeuS-Trojaner überlistet Virenscanner

18.09.2011, 14:00 Uhr | Jens Müller und Andreas Lerg, t-online.de

ZeuS-Trojaner überlistet Virenscanner. Zeus besiegt viele Virenscanner. (Quelle: imago)

Zeus besiegt viele Virenscanner. (Quelle: imago)

 

Seit Monaten treibt der Trojaner ZeuS bereits sein Unwesen im Internet und räumt reihenweise Online-Banking-Konten leer. Eigentlich sollte sich die Schadsoftware mit Virenjägern abwehren lassen, doch viele Anti-Virus-Programme scheitern an dieser Aufgabe. Denn Baukasten-Trojaner ZeuS tarnt geschickt seine Spuren.

Der Trojaner ZeuS gilt als einer der derzeit gefährlichsten Online-Banking-Trojaner. Denn obwohl die Schadsoftware seit Monaten bekannt ist und ihr Quellcode im Internet einsehbar ist, überlistet ZeuS reihenweise Virenscanner. Denn mittels eines Baukasten-Prinzips, zufällig generierten Dateinamen und einer integrierten Update-Funktion ist der Trojaner nur schwer zu finden. Viele Gratis-Virenscanner sind gegen ZeuS förmlich machtlos, wie das deutsche Fachmagazin c't in der aktuellen Ausgabe meldet. Die Experten empfehlen den Einsatz einer weiteren Schutz-Software wie ThreatFire, um nicht Opfer des raffinierten Konto-Plünderes zu werden.

Trojaner ZeuS wählt zufällige Aufenthaltsorte

Viele herkömmliche Anti-Virus-Programme setzen auf signaturbasierte Scans, das heißt, die Virenjäger durchforsten das Betriebssystem nach Fingerabdrücken der Schadsoftware. Doch diese hinterlässt ZeuS in der Regel nicht. Der Trojaner nistet sich nach der Installation unter zufällig generierten Dateinamen im Windows-Ordner "Anwendungsdaten" ein. Das simple Löschen der Dateien reicht nicht aus, denn auch für die Einträge in der Windows-Registry verwendet ZeuS laut c't zufällige Werte, die er zudem fünfmal pro Sekunde neu anlegt.

Computer-Video 
Online-Banking: Aus für die TAN-Liste

Wie sicher die neuen Verfahren mTan und chipTAN? zum Video

Gratis-Tool spürt ZeuS auf

Und genau darin liegt der Schwachpunkt von ZeuS. Denn ein Windows-Prozess, der in sich in dieser Häufigkeit in die Registry einträgt und in regelmäßigen Abständen mit einem Internet-Server kommuniziert, macht sich verdächtig. Die Verhaltenserkennung moderner Virenscanner sollten dies bemerken. In den Tests der c't bewährte sich vor allem ThreatFire gegen den ZeuS-Trojaner und bremste ihn mehrfach aus. Die Autoren empfehlen daher, das kostenlose Programm zusätzlich zu einem Virenscanner zu installieren, da es lediglich mit der notwendigen Verhaltenserkennung arbeitet.

ZeuS Fingerabdruck ändert sich permanent

Für die Analyse zerpflückte die c't mehr als 50.000 Zeilen Programmcode von Zeus. Der Trojaner ist aus einer Reihe von Modulen aufgebaut, die einzeln angepasst und verändert werden können. Das bedeutet, dass sich ZeuS fortlaufend verändert. Die Hintermänner des Trojaners ändern über automatische Updates der verwendeten Module jederzeit den Fingerabdruck der Schadsoftware und umgehen damit herkömmliche Virenscanner und deren Signaturen.

Sparkassen-Baustein für 60 Dollar

Die Zusatzmodule, Webinjects genannt, schieben Opfern von ZeuS manipulierte Online-Banking-Seiten im Browser unter, selbst bei verschlüsselt übertragenen Seiten. Damit sammelt der Trojaner PIN und TAN von Bankkonten ein. Das Webinject für das Online-Banking der deutschen Sparkassen beispielsweise kostet etwa 60 US-Dollar und lässt sich für weitere 20 Dollar anpassen, so die c't. Mit seinen Grundfunktionen sammelt ZeuS zusätzlich etwa Zugangsdaten für Webmail-Seiten, überwacht Tastatureingaben und überträgt Bildschirmfotos der Opfer-PC an seine Hintermänner.

ZeuS-Trojaner perfekt für den virtuellen Bankraub

So lässt sich mit ZeuS, der erstmals 2006 auftauchte, große Beute machen. Im Oktober des letzten Jahres fassten ukrainische Behörden eine Bande, die mit Hilfe des Zeus-Trojaners über 51 Millionen Euro erbeutete. Eine entdeckte Mutation des Zeus-Trojaners fängt sogar mTAN ab und überlistet so das vermeintlich sichere Online-Banking-Verfahren. Das sind Transaktionsnummern zur Autorisierung von Banküberweisungen, die per SMS an das Handy eines Bankkunden verschickt werden. Trotz der Analyse und der Tipps der c't wird der Kampf gegen ZeuS weitergehen und die kriminellen Hintermännern, die ihre Kommentare im Software-Code auf russisch verfassen, dürften noch zahlreiche Konten leerräumen.

 
Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre Adresse an.

Name
E-Mail
Betreff
Nachricht

Wählen Sie aus dem Pull-Down-Menü Ihren gewünschten Ansprechpartner aus. Vielen Dank für Ihre Mitteilung.

Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail
Nachricht
Anzeige
Video des Tages
Zu schnell unterwegs 
Raser auf Motorrad überschätzt seine Fahrkünste

Bei hoher Geschwindigkeit wird ihm eine Kurve zum Verhängnis. Video

Shopping 
Deal des Tages bringt Licht ins Dunkle - 30 % sparen

Digitales Nachtsichtgerät mit Aufnahmefunktion von Bresser heute für nur noch 69,99 € bei Weltbild.de.

Kampf gegen die Terrormiliz 
Peschmerga-Kämpfer feuert Granate auf IS-Stellung

Spektakuläre Aufnahme zeigt Gesicht des grausamen Krieges. mehr

Anzeige 
Apple iPhone 6 Plus

Das iPhone 6 ist nicht einfach nur größer. Es ist einfach in allem besser.
Jetzt vorbestellen

Telekom präsentiert 
Endlich: Das neue iPhone 6

Größer, leistungsstärker, besser - die neue iPhone Generation mit HD-Display. Jetzt vorbestellen

Anzeige


Anzeige